ゲートウェイサーバ
【課題】共用ホスティングサーバ上に開設されたWEBサイトがグローバルIPアドレスを与えられていない場合でも、当該WEBサイトが独自のドメインネームでSSL暗号化通信を行なうことができるゲートウェイサーバを提案すること。
【解決手段】SSLゲートウェイサーバ1には、グローバルIPアドレスが付与された通信カード6を備えている。通信カード6はCA署名付き電子証明書が実装されているとともに、SSL暗号化通信を行なう際に使用される秘密鍵を備えている。ユーザ3のWEBブラウザ4から共用ホスティングサーバ2上のWEBサイト5に対してSSL暗号化通信の要求があると、通信カード6がWEBサイト5をプロシキして、WEBブラウザ4との間でSSL暗号化通信を行なう。また、SSLゲートウェイサーバ1がその通信を中継して、共用ホスティングサーバ2との間でSSL暗号化通信を行なう。
【解決手段】SSLゲートウェイサーバ1には、グローバルIPアドレスが付与された通信カード6を備えている。通信カード6はCA署名付き電子証明書が実装されているとともに、SSL暗号化通信を行なう際に使用される秘密鍵を備えている。ユーザ3のWEBブラウザ4から共用ホスティングサーバ2上のWEBサイト5に対してSSL暗号化通信の要求があると、通信カード6がWEBサイト5をプロシキして、WEBブラウザ4との間でSSL暗号化通信を行なう。また、SSLゲートウェイサーバ1がその通信を中継して、共用ホスティングサーバ2との間でSSL暗号化通信を行なう。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、共用ホスティングサーバ上に開設されたWEBサイトにSSL暗号化通信を提供するゲートウェイサーバに関する。
【背景技術】
【0002】
インターネットを利用してユーザのWEBブラウザとWEBサイトとの間で個人情報や口座番号などの大切なデータの送受信を行なう場合には、なりすましや改ざんなどを防止するためにSSL(Secure Socket Layer)暗号化通信が利用される。SSL暗号化通信では、WEBブラウザとWEBサイトとの間で暗号鍵の交換を行なって暗号化通信のセッションを確立し、しかる後に暗号化通信を行なう。
【0003】
暗号化通信のセッションを確立するために、WEBサイトは認証局(CA)で発行された署名付き電子証明書をユーザのWEBブラウザに送信する。WEBブラウザでは受信した電子証明書を検証した上でWEBサイトの公開鍵を取得して、暗号化通信のセッションを確立するための共通鍵を生成するためのデータを公開鍵で暗号化して送信する。WEBサイトは、このデータを自己の秘密鍵で復元することによって、暗号化通信のセッションを確立する(特許文献1参照)。
【0004】
ここで、WEBサイトがCA署名付き電子証明書を実装して秘密鍵を備えるためには、1ドメインに対して1個のグローバルIPアドレスを取得していることが必要になる。SSL暗号化通信では、電子証明書を使用して接続するWEBサイトが適切なサイトか否かを判断する処理が、WEBブラウザとWEBサイトとの間で行なわれるHTTP(Hyper Text Transfer Protocol)通信に先立って行なわれるからである。
【特許文献1】特開2003−318889
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、WEBサイトが共用ホスティングサーバ上に開設されている場合には、共用ホスティングサーバのみがグローバルIPアドレスを取得しており、各WEBサイトにはドメインネームだけが割り当てられていることがある。このような場合には、各WEBサイトは電子証明書を個別に実装して秘密鍵を備えることができないので、共用ホスティングサーバ上の複数のWEBサイトがそれぞれに自己のドメインネームでSSL暗号化通信を行なうことはできなかった。
【0006】
本発明の課題は、このような点に鑑みて、共用ホスティングサーバ上に開設されたWEBサイトがグローバルIPアドレスを与えられていない場合でも、当該WEBサイトが独自のドメインネームでSSL暗号化通信を行なうことができるゲートウェイサーバを提案することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明は、共用ホスティングサーバ上に開設されたグローバルIPアドレスが与えられていないWEBサイトと、当該WEBサイトを閲覧するユーザのWEBブラウザとの間に設置されて、前記WEBサイトと前記WEBブラウザとの間に前記WEBサイトのドメインネームでSSL暗号化通信を提供するゲートウェイサーバであって、前記WEBサイトを代理して、前記WEBブラウザとの間で前記WEBサイトのドメインネームでSSL暗号化通信を行なう代理通信手段と、前記代理通信手段によって行なわれたSSL暗号化通信を中継して、前記共用ホスティングサーバ上のWEBサイトとの間で通信を行なう中継通信手段を備えていることを特徴とする。
【0008】
本発明によれば、ゲートウェイサーバに設けられた代理通信手段がWEBサイトを代理して、ユーザのWEBブラウザとの間でWEBサイトのドメインネームによるSSL暗号化通信を行なう。また、行なわれたSSL暗号化通信は中継通信手段によって中継されるので、ユーザのWEBブラウザと共用ホスティングサーバ上のWEBサイトとが交信することができる。従って、WEBサイトにグローバルIPアドレスが与えられておらず、WEBサイト自身がCA署名付き電子証明書を実装して秘密鍵を備えることができない場合でも、WEBサイトのドメインネームによるSSL暗号化通信をユーザに提供できる。また、SSL暗号化通信はWEBサイトを代理する代理通信手段で行なわれるので、WEBサイトでは、顧客のWEBブラウザとの間でSSL暗号化通信を行なうために、そのコンテンツに手を加える必要がない。
【0009】
本発明において、前記代理通信手段は、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに対応する数だけ通信カードを備えており、前記通信カードのそれぞれには、グローバルIPアドレスが与えられており、DNS(Domain Name System)によって、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに割り当てられているドメインネームと同一のドメインに属するホスト名が設定されており、前記通信カードの各々は、前記グローバルIPアドレスに基づいた署名付き電子証明書を実装するとともに、SSL暗号化通信のための秘密鍵を備えることが好ましい。通信カードによって、共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトを代理するので、SSL暗号化通信を必要としているWEBサイトの数が増減しても、柔軟に対応することができる。
【0010】
また、本発明において前記代理通信手段は、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに対応する数だけ通信プロセスを備えており、前記通信プロセスのそれぞれには、グローバルIPアドレスが与えられており、DNSによって、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに割り当てられているドメインネームと同一のドメインに属するホスト名が設定されており、前記通信プロセスの各々は、前記グローバルIPアドレスに基づいた署名付き電子証明書を実装するとともに、SSL暗号化通信のための秘密鍵を備えるようにしてもよい。ゲートウェイサーバが複数のグローバルIPアドレスを取得すれば、ソフトウェアによって、共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトを代理することができる。
【0011】
本発明において、前記中継通信手段は、前記共用ホスティングサーバとの間でSSL暗号化通信を行なうことが好ましい。WEBブラウザとゲートウェイサーバとの間の通信だけでなく、ゲートウェイサーバと共用ホスティングサーバとの間の通信もSSL暗号化通信を行なえば、WEBブラウザと共用ホスティングサーバ上に開設されたWEBサイトとの間で情報の漏洩を防ぐことができる。
【0012】
本発明において、前記共用ホスティングサーバとの間がVPN(Virtual Private Network)を介して接続されている場合には、前記中継通信手段は、VPNにおける暗号化通信のプロトコルとして標準化されているIPsec(IP security protocol)等による暗号化通信を行なえばよい。
【発明の効果】
【0013】
本発明によれば、WEBサイトにグローバルIPアドレスが与えられておらず、WEBサイト自身がCA署名付き電子証明書を実装して秘密鍵を備えることができない場合でも、WEBサイトのドメインネームによるSSL暗号化通信をユーザに提供できる。また、SSL暗号化通信はWEBサイトを代理する代理通信手段で行なわれるので、WEBサイトでは、顧客のWEBブラウザとの間でSSL暗号化通信を行なうために、そのコンテンツに手を加える必要がない。
【発明を実施するための最良の形態】
【0014】
以下に、図面を参照して、本発明を適用したSSLゲートウェイサーバを説明する。図1はSSLゲートウェイサーバの処理動作を示す遷移図である。図2は本発明の実施の形態に係るSSLゲートウェイサーバのブロック図である。
【0015】
(SSLゲートウェイサーバの構成)
図1、2に示すように、本形態のSSLゲートウェイサーバ1は、複数のWEBサイト5が開設されている複数の共用ホスティングサーバ2のゲートウェイとして設置されるものである。インターネットを介して接続してくるユーザ3のWEBブラウザ4と共用ホスティングサーバ2上のWEBサイト5との間に、WEBサイト5のドメインネームでSSL暗号化通信を提供する。
【0016】
複数の共用ホスティングサーバ2では、共用ホスティングサーバ2のみにグローバルIPアドレスが与えられており、サーバ上に開設された各WEBサイト5にはドメインネームだけが割り当てられている。すなわち、ユーザ3が所望のWEBサイト5にアクセスしようとしてWEBブラウザ4にURL(uniform resource locator)を入力した場合には、URLから導き出されるHTTP上のHOSTヘッダーに基づいて共用ホスティングサーバ2が該当するWEBサイト5のコンテンツをユーザ3のWEBブラウザ4に送信するようになっている。各WEBサイト5にはグローバルIPアドレスが与えられていないので、個々にCA署名付き電子証明書を実装して、秘密鍵を備えることはできない。従って、通常は、各WEBサイト5が自己のドメインネームでSSL暗号化通信を行なうことはできない。なお、各共用ホスティングサーバ2は、それぞれグローバルIPアドレスを取得しているので、そのグローバルIPアドレスに基づいて1つのCA書名付き電子証明書を実装するとともに、SSL暗号化通信のための1つの秘密鍵を備えている。
【0017】
SSLゲートウェイサーバ1は、共用ホスティングサーバ2上で電子証明書を必要としているWEBサイト5のプロキシとして動作する通信カード6と、SSLゲートウェイサーバ1と共用ホスティングサーバ2との間で通信プロセス9を提供するオペレーティングシステム8を備えている。通信カード6はDNS7によって電子証明書を必要としているWEBサイト5の情報と対応付けられている。
【0018】
通信カード6は、複数の共用ホスティングサーバ2上で電子証明書を必要としているWEBサイト5の数と対応する数だけ設けられており、それぞれにグローバルIPアドレスが与えられている。また、そのグローバルIPアドレスに基づいてCA署名付き電子証明書が実装されているとともに、SSL暗号化通信を行なう際に使用される秘密鍵を備えている。
【0019】
DNS7は、電子証明書を必要としているWEBサイト5のドメインネームと通信カード6のグローバルIPアドレスとを対応付けている。DNS7によって、各通信カード6とWEBサイト5のドメインネームとが関連付けられているので、ユーザ3が共用ホスティングサーバ2上の所望のWEBサイト5にアクセスしようとして、従来どおりにWEBブラウザ4にWEBサイト5のURLを入力すれば、WEBブラウザ4はSSLゲートウェイサーバ1内にある所望のWEBサイト5に対応する通信カード6にアクセスすることになる。
【0020】
(SSLゲートウェイサーバ1を介したSSL暗号化通信の動作)
次に、図1を参照して、SSLゲートウェイサーバ1を介したSSL暗号化通信の動作を説明する。
【0021】
ステップST1では、ユーザ3が、WEBブラウザ4から共用ホスティングサーバ2上のWEBサイト5にSSL暗号化通信の要求を行う。すると、ステップST2において、要求したWEBサイト5に対応する通信カード6は、実装しているCA署名付き電子証明書をユーザ3のWEBブラウザ4に送信する。WEBブラウザ4では、その電子証明書を検証して公開鍵を取得する。また、共通鍵の元となるデータを作成して公開鍵で暗号化して通信カード6に送信する。通信カード6は、このデータを自己の秘密鍵で復元することによってWEBブラウザ4との間で暗号化通信のセッションを確立する。セッションが確立すると、ステップST3において、暗号化通信が行なわれる。すなわち、ユーザ3のWEBブラウザ4とSSLゲートウェイサーバ1との間では、WEBサイト5のドメインネームによるSSL暗号化通信が行なわれる。
【0022】
ステップST3でWEBブラウザ4からSSL暗号化通信によって暗号化されて送信されてきた通信データは、ステップST4において、通信カード6で一旦終端される。したがって、SSLゲートウェイサーバ1の内部では、通信データは平文化されて、オペレーティングシステム8の通信プロセス9に受け渡される。
【0023】
一方、ステップST3において、ユーザ3のWEBブラウザ4とSSLゲートウェイサーバ1との間でSSL暗号化通信が始まると、SSLゲートウェイサーバ1は、オペレーティングシステム8が提供する通信プロセス9によって、共用ホスティングサーバ2との間で暗号化通信のセッションを確立する。すなわち、ステップST5において、オペレーティングシステム8の通信プロセス9が共用ホスティングサーバ2にSSL暗号化通信を要求する。要求された共用ホスティングサーバ2は、ステップST6において、実装されているCA署名付き電子証明書をオペレーティングシステム8の通信プロセス9に送信する。通信プロセス9では、その電子証明書を検証して公開鍵を取得する。また、共通鍵の元となるデータを作成して公開鍵で暗号化して共用ホスティングサーバ2に送信する。共用ホスティングサーバ2は、このデータを自己の秘密鍵で復元することによって、通信プロセス9との間で暗号化通信のセッションを確立する。
【0024】
セッションが確立すると、ステップST7において、SSLゲートウェイサーバ1と共用ホスティングサーバ2との間でSSL暗号化通信が行なわれる。すなわち、ステップST4においてSSLゲートウェイサーバ1で一旦平文化された通信データは、再び暗号化されて、共用ホスティングサーバ2に送信される。
【0025】
次に、ユーザ3のWEBブラウサから通信データを受信したWEBサイト5が自己のコンテンツをユーザ3のWEBブラウザ4に送信する動作を説明する。
【0026】
ステップST7において、SSLゲートウェイサーバ1と共用ホスティングサーバ2との間ではSSL暗号化通信が行なわれているので、ステップST8では、オペレーティングシステム8の通信プロセス9が、WEBサイト5から送信されたコンテンツをHTTPによって取得する。ST7のSSL暗号化通信は通信プロセス9で終端され、通信データは平文化される。平文化された通信データは、ステップST9において、通信プロセス9によってユーザ3のWEBブラウザ4にフォワードされる。
【0027】
ステップST9でフォワードされた通信データは、ステップST3のSSL暗号化通信を介して送信されるので、ユーザ3のWEBブラウザ4は、フォワードされた通信データをHTTPで取得する。従って、ユーザ3のWEBブラウザ4は、WEBサイト5のドメインネームによるSSL暗号化通信によって、WEBサイト5から送信されたコンテンツを取得することになる。
【0028】
以上、本形態のSSLゲートウェイサーバ1によれば、共用ホスティングサーバ2上に開設されたWEBサイト5がグローバルIPアドレスを与えられていない場合でも、当該WEBサイト5のドメインネームでユーザ3のWEBブラウザ4との間でSSL暗号化通信を行なうことができる。また、共用ホスティングサーバ2上に開設されたWEBサイト5のコンテンツに変更を加えることなく、SSL暗号化通信を行なうことができる。
【0029】
また、本形態では、SSLゲートウェイサーバ1に設けられる通信カード6にグローバルIPアドレスと秘密鍵を備えるようにしているので、SSLゲートウェイサーバ1が接続された複数の共用ホスティングサーバ2上で電子証明書を必要とするWEBサイト5が増加した場合には、通信カード6を増設して、DNS7を設定することによって、新たなWEBサイト5に対してSSL暗号化通信を提供することができる。
【0030】
(その他の実施の形態)
前記実施の形態では、SSLゲートウェイサーバ1と複数の共用ホスティングサーバ2との間の通信はSSL暗号化通信によって行なわれているが、SSLゲートウェイサーバ1と複数の共用ホスティングサーバ2とが同一の構内においてケーブルで接続されていれば、暗号化通信を行なう必要がない場合がある。また、SSLゲートウェイサーバ1と複数の共用ホスティングサーバ2との間を閉じた通信網であるVPNを介して接続している場合には、VPNにおける暗号化通信のプロトコルとして標準化されているIPsec等の暗号化通信を行なうことができる。
【0031】
また、前記の実施の形態では、通信カード6にグローバルIPアドレスと秘密鍵を備えるようにしているが、図3に示すように、SSLゲートウェイサーバ1が複数のグローバルIPアドレスを取得するようにしてもよい。
【0032】
この場合には、SSLゲートウェイサーバ1は、取得した複数のグローバルIPアドレスに基づいて複数のCA署名付き電子証明書を実装し、対応する秘密鍵を複数備える。また、オペレーティングシステム8に共用ホスティングサーバ2上のWEBサイト5を代理する複数のプロキシ通信プロセス10を複数備えることにより、WEBブラウザ4とWEBサイト5との間でWEBサイト5のドメインネームによるSSL暗号化通信を実現する。
【0033】
また、前記の実施の形態では、1つの通信カード6が1つのWEBサイト5を代理しているが、1つの通信カードに複数のグローバルIPアドレスを与えることによって、複数のWEBサイトを代理するようにしてもよい。
【図面の簡単な説明】
【0034】
【図1】本発明の実施の形態に係るSSLゲートウェイサーバの処理動作を示す状態遷移図である。
【図2】実施の形態に係るSSLゲートウェイサーバのブロック図である。
【図3】その他の実施の形態に係るSSLゲートウェイサーバのブロック図である。
【符号の説明】
【0035】
1 SSLゲートウェイサーバ
2 共用ホスティングサーバ
3 ユーザ
4 WEBブラウザ
5 WEBサイト
6 通信カード
7 DNS
8 オペレーティングシステム
9 通信プロセス
10 プロキシ通信プロセス
【技術分野】
【0001】
本発明は、共用ホスティングサーバ上に開設されたWEBサイトにSSL暗号化通信を提供するゲートウェイサーバに関する。
【背景技術】
【0002】
インターネットを利用してユーザのWEBブラウザとWEBサイトとの間で個人情報や口座番号などの大切なデータの送受信を行なう場合には、なりすましや改ざんなどを防止するためにSSL(Secure Socket Layer)暗号化通信が利用される。SSL暗号化通信では、WEBブラウザとWEBサイトとの間で暗号鍵の交換を行なって暗号化通信のセッションを確立し、しかる後に暗号化通信を行なう。
【0003】
暗号化通信のセッションを確立するために、WEBサイトは認証局(CA)で発行された署名付き電子証明書をユーザのWEBブラウザに送信する。WEBブラウザでは受信した電子証明書を検証した上でWEBサイトの公開鍵を取得して、暗号化通信のセッションを確立するための共通鍵を生成するためのデータを公開鍵で暗号化して送信する。WEBサイトは、このデータを自己の秘密鍵で復元することによって、暗号化通信のセッションを確立する(特許文献1参照)。
【0004】
ここで、WEBサイトがCA署名付き電子証明書を実装して秘密鍵を備えるためには、1ドメインに対して1個のグローバルIPアドレスを取得していることが必要になる。SSL暗号化通信では、電子証明書を使用して接続するWEBサイトが適切なサイトか否かを判断する処理が、WEBブラウザとWEBサイトとの間で行なわれるHTTP(Hyper Text Transfer Protocol)通信に先立って行なわれるからである。
【特許文献1】特開2003−318889
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、WEBサイトが共用ホスティングサーバ上に開設されている場合には、共用ホスティングサーバのみがグローバルIPアドレスを取得しており、各WEBサイトにはドメインネームだけが割り当てられていることがある。このような場合には、各WEBサイトは電子証明書を個別に実装して秘密鍵を備えることができないので、共用ホスティングサーバ上の複数のWEBサイトがそれぞれに自己のドメインネームでSSL暗号化通信を行なうことはできなかった。
【0006】
本発明の課題は、このような点に鑑みて、共用ホスティングサーバ上に開設されたWEBサイトがグローバルIPアドレスを与えられていない場合でも、当該WEBサイトが独自のドメインネームでSSL暗号化通信を行なうことができるゲートウェイサーバを提案することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明は、共用ホスティングサーバ上に開設されたグローバルIPアドレスが与えられていないWEBサイトと、当該WEBサイトを閲覧するユーザのWEBブラウザとの間に設置されて、前記WEBサイトと前記WEBブラウザとの間に前記WEBサイトのドメインネームでSSL暗号化通信を提供するゲートウェイサーバであって、前記WEBサイトを代理して、前記WEBブラウザとの間で前記WEBサイトのドメインネームでSSL暗号化通信を行なう代理通信手段と、前記代理通信手段によって行なわれたSSL暗号化通信を中継して、前記共用ホスティングサーバ上のWEBサイトとの間で通信を行なう中継通信手段を備えていることを特徴とする。
【0008】
本発明によれば、ゲートウェイサーバに設けられた代理通信手段がWEBサイトを代理して、ユーザのWEBブラウザとの間でWEBサイトのドメインネームによるSSL暗号化通信を行なう。また、行なわれたSSL暗号化通信は中継通信手段によって中継されるので、ユーザのWEBブラウザと共用ホスティングサーバ上のWEBサイトとが交信することができる。従って、WEBサイトにグローバルIPアドレスが与えられておらず、WEBサイト自身がCA署名付き電子証明書を実装して秘密鍵を備えることができない場合でも、WEBサイトのドメインネームによるSSL暗号化通信をユーザに提供できる。また、SSL暗号化通信はWEBサイトを代理する代理通信手段で行なわれるので、WEBサイトでは、顧客のWEBブラウザとの間でSSL暗号化通信を行なうために、そのコンテンツに手を加える必要がない。
【0009】
本発明において、前記代理通信手段は、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに対応する数だけ通信カードを備えており、前記通信カードのそれぞれには、グローバルIPアドレスが与えられており、DNS(Domain Name System)によって、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに割り当てられているドメインネームと同一のドメインに属するホスト名が設定されており、前記通信カードの各々は、前記グローバルIPアドレスに基づいた署名付き電子証明書を実装するとともに、SSL暗号化通信のための秘密鍵を備えることが好ましい。通信カードによって、共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトを代理するので、SSL暗号化通信を必要としているWEBサイトの数が増減しても、柔軟に対応することができる。
【0010】
また、本発明において前記代理通信手段は、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに対応する数だけ通信プロセスを備えており、前記通信プロセスのそれぞれには、グローバルIPアドレスが与えられており、DNSによって、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに割り当てられているドメインネームと同一のドメインに属するホスト名が設定されており、前記通信プロセスの各々は、前記グローバルIPアドレスに基づいた署名付き電子証明書を実装するとともに、SSL暗号化通信のための秘密鍵を備えるようにしてもよい。ゲートウェイサーバが複数のグローバルIPアドレスを取得すれば、ソフトウェアによって、共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトを代理することができる。
【0011】
本発明において、前記中継通信手段は、前記共用ホスティングサーバとの間でSSL暗号化通信を行なうことが好ましい。WEBブラウザとゲートウェイサーバとの間の通信だけでなく、ゲートウェイサーバと共用ホスティングサーバとの間の通信もSSL暗号化通信を行なえば、WEBブラウザと共用ホスティングサーバ上に開設されたWEBサイトとの間で情報の漏洩を防ぐことができる。
【0012】
本発明において、前記共用ホスティングサーバとの間がVPN(Virtual Private Network)を介して接続されている場合には、前記中継通信手段は、VPNにおける暗号化通信のプロトコルとして標準化されているIPsec(IP security protocol)等による暗号化通信を行なえばよい。
【発明の効果】
【0013】
本発明によれば、WEBサイトにグローバルIPアドレスが与えられておらず、WEBサイト自身がCA署名付き電子証明書を実装して秘密鍵を備えることができない場合でも、WEBサイトのドメインネームによるSSL暗号化通信をユーザに提供できる。また、SSL暗号化通信はWEBサイトを代理する代理通信手段で行なわれるので、WEBサイトでは、顧客のWEBブラウザとの間でSSL暗号化通信を行なうために、そのコンテンツに手を加える必要がない。
【発明を実施するための最良の形態】
【0014】
以下に、図面を参照して、本発明を適用したSSLゲートウェイサーバを説明する。図1はSSLゲートウェイサーバの処理動作を示す遷移図である。図2は本発明の実施の形態に係るSSLゲートウェイサーバのブロック図である。
【0015】
(SSLゲートウェイサーバの構成)
図1、2に示すように、本形態のSSLゲートウェイサーバ1は、複数のWEBサイト5が開設されている複数の共用ホスティングサーバ2のゲートウェイとして設置されるものである。インターネットを介して接続してくるユーザ3のWEBブラウザ4と共用ホスティングサーバ2上のWEBサイト5との間に、WEBサイト5のドメインネームでSSL暗号化通信を提供する。
【0016】
複数の共用ホスティングサーバ2では、共用ホスティングサーバ2のみにグローバルIPアドレスが与えられており、サーバ上に開設された各WEBサイト5にはドメインネームだけが割り当てられている。すなわち、ユーザ3が所望のWEBサイト5にアクセスしようとしてWEBブラウザ4にURL(uniform resource locator)を入力した場合には、URLから導き出されるHTTP上のHOSTヘッダーに基づいて共用ホスティングサーバ2が該当するWEBサイト5のコンテンツをユーザ3のWEBブラウザ4に送信するようになっている。各WEBサイト5にはグローバルIPアドレスが与えられていないので、個々にCA署名付き電子証明書を実装して、秘密鍵を備えることはできない。従って、通常は、各WEBサイト5が自己のドメインネームでSSL暗号化通信を行なうことはできない。なお、各共用ホスティングサーバ2は、それぞれグローバルIPアドレスを取得しているので、そのグローバルIPアドレスに基づいて1つのCA書名付き電子証明書を実装するとともに、SSL暗号化通信のための1つの秘密鍵を備えている。
【0017】
SSLゲートウェイサーバ1は、共用ホスティングサーバ2上で電子証明書を必要としているWEBサイト5のプロキシとして動作する通信カード6と、SSLゲートウェイサーバ1と共用ホスティングサーバ2との間で通信プロセス9を提供するオペレーティングシステム8を備えている。通信カード6はDNS7によって電子証明書を必要としているWEBサイト5の情報と対応付けられている。
【0018】
通信カード6は、複数の共用ホスティングサーバ2上で電子証明書を必要としているWEBサイト5の数と対応する数だけ設けられており、それぞれにグローバルIPアドレスが与えられている。また、そのグローバルIPアドレスに基づいてCA署名付き電子証明書が実装されているとともに、SSL暗号化通信を行なう際に使用される秘密鍵を備えている。
【0019】
DNS7は、電子証明書を必要としているWEBサイト5のドメインネームと通信カード6のグローバルIPアドレスとを対応付けている。DNS7によって、各通信カード6とWEBサイト5のドメインネームとが関連付けられているので、ユーザ3が共用ホスティングサーバ2上の所望のWEBサイト5にアクセスしようとして、従来どおりにWEBブラウザ4にWEBサイト5のURLを入力すれば、WEBブラウザ4はSSLゲートウェイサーバ1内にある所望のWEBサイト5に対応する通信カード6にアクセスすることになる。
【0020】
(SSLゲートウェイサーバ1を介したSSL暗号化通信の動作)
次に、図1を参照して、SSLゲートウェイサーバ1を介したSSL暗号化通信の動作を説明する。
【0021】
ステップST1では、ユーザ3が、WEBブラウザ4から共用ホスティングサーバ2上のWEBサイト5にSSL暗号化通信の要求を行う。すると、ステップST2において、要求したWEBサイト5に対応する通信カード6は、実装しているCA署名付き電子証明書をユーザ3のWEBブラウザ4に送信する。WEBブラウザ4では、その電子証明書を検証して公開鍵を取得する。また、共通鍵の元となるデータを作成して公開鍵で暗号化して通信カード6に送信する。通信カード6は、このデータを自己の秘密鍵で復元することによってWEBブラウザ4との間で暗号化通信のセッションを確立する。セッションが確立すると、ステップST3において、暗号化通信が行なわれる。すなわち、ユーザ3のWEBブラウザ4とSSLゲートウェイサーバ1との間では、WEBサイト5のドメインネームによるSSL暗号化通信が行なわれる。
【0022】
ステップST3でWEBブラウザ4からSSL暗号化通信によって暗号化されて送信されてきた通信データは、ステップST4において、通信カード6で一旦終端される。したがって、SSLゲートウェイサーバ1の内部では、通信データは平文化されて、オペレーティングシステム8の通信プロセス9に受け渡される。
【0023】
一方、ステップST3において、ユーザ3のWEBブラウザ4とSSLゲートウェイサーバ1との間でSSL暗号化通信が始まると、SSLゲートウェイサーバ1は、オペレーティングシステム8が提供する通信プロセス9によって、共用ホスティングサーバ2との間で暗号化通信のセッションを確立する。すなわち、ステップST5において、オペレーティングシステム8の通信プロセス9が共用ホスティングサーバ2にSSL暗号化通信を要求する。要求された共用ホスティングサーバ2は、ステップST6において、実装されているCA署名付き電子証明書をオペレーティングシステム8の通信プロセス9に送信する。通信プロセス9では、その電子証明書を検証して公開鍵を取得する。また、共通鍵の元となるデータを作成して公開鍵で暗号化して共用ホスティングサーバ2に送信する。共用ホスティングサーバ2は、このデータを自己の秘密鍵で復元することによって、通信プロセス9との間で暗号化通信のセッションを確立する。
【0024】
セッションが確立すると、ステップST7において、SSLゲートウェイサーバ1と共用ホスティングサーバ2との間でSSL暗号化通信が行なわれる。すなわち、ステップST4においてSSLゲートウェイサーバ1で一旦平文化された通信データは、再び暗号化されて、共用ホスティングサーバ2に送信される。
【0025】
次に、ユーザ3のWEBブラウサから通信データを受信したWEBサイト5が自己のコンテンツをユーザ3のWEBブラウザ4に送信する動作を説明する。
【0026】
ステップST7において、SSLゲートウェイサーバ1と共用ホスティングサーバ2との間ではSSL暗号化通信が行なわれているので、ステップST8では、オペレーティングシステム8の通信プロセス9が、WEBサイト5から送信されたコンテンツをHTTPによって取得する。ST7のSSL暗号化通信は通信プロセス9で終端され、通信データは平文化される。平文化された通信データは、ステップST9において、通信プロセス9によってユーザ3のWEBブラウザ4にフォワードされる。
【0027】
ステップST9でフォワードされた通信データは、ステップST3のSSL暗号化通信を介して送信されるので、ユーザ3のWEBブラウザ4は、フォワードされた通信データをHTTPで取得する。従って、ユーザ3のWEBブラウザ4は、WEBサイト5のドメインネームによるSSL暗号化通信によって、WEBサイト5から送信されたコンテンツを取得することになる。
【0028】
以上、本形態のSSLゲートウェイサーバ1によれば、共用ホスティングサーバ2上に開設されたWEBサイト5がグローバルIPアドレスを与えられていない場合でも、当該WEBサイト5のドメインネームでユーザ3のWEBブラウザ4との間でSSL暗号化通信を行なうことができる。また、共用ホスティングサーバ2上に開設されたWEBサイト5のコンテンツに変更を加えることなく、SSL暗号化通信を行なうことができる。
【0029】
また、本形態では、SSLゲートウェイサーバ1に設けられる通信カード6にグローバルIPアドレスと秘密鍵を備えるようにしているので、SSLゲートウェイサーバ1が接続された複数の共用ホスティングサーバ2上で電子証明書を必要とするWEBサイト5が増加した場合には、通信カード6を増設して、DNS7を設定することによって、新たなWEBサイト5に対してSSL暗号化通信を提供することができる。
【0030】
(その他の実施の形態)
前記実施の形態では、SSLゲートウェイサーバ1と複数の共用ホスティングサーバ2との間の通信はSSL暗号化通信によって行なわれているが、SSLゲートウェイサーバ1と複数の共用ホスティングサーバ2とが同一の構内においてケーブルで接続されていれば、暗号化通信を行なう必要がない場合がある。また、SSLゲートウェイサーバ1と複数の共用ホスティングサーバ2との間を閉じた通信網であるVPNを介して接続している場合には、VPNにおける暗号化通信のプロトコルとして標準化されているIPsec等の暗号化通信を行なうことができる。
【0031】
また、前記の実施の形態では、通信カード6にグローバルIPアドレスと秘密鍵を備えるようにしているが、図3に示すように、SSLゲートウェイサーバ1が複数のグローバルIPアドレスを取得するようにしてもよい。
【0032】
この場合には、SSLゲートウェイサーバ1は、取得した複数のグローバルIPアドレスに基づいて複数のCA署名付き電子証明書を実装し、対応する秘密鍵を複数備える。また、オペレーティングシステム8に共用ホスティングサーバ2上のWEBサイト5を代理する複数のプロキシ通信プロセス10を複数備えることにより、WEBブラウザ4とWEBサイト5との間でWEBサイト5のドメインネームによるSSL暗号化通信を実現する。
【0033】
また、前記の実施の形態では、1つの通信カード6が1つのWEBサイト5を代理しているが、1つの通信カードに複数のグローバルIPアドレスを与えることによって、複数のWEBサイトを代理するようにしてもよい。
【図面の簡単な説明】
【0034】
【図1】本発明の実施の形態に係るSSLゲートウェイサーバの処理動作を示す状態遷移図である。
【図2】実施の形態に係るSSLゲートウェイサーバのブロック図である。
【図3】その他の実施の形態に係るSSLゲートウェイサーバのブロック図である。
【符号の説明】
【0035】
1 SSLゲートウェイサーバ
2 共用ホスティングサーバ
3 ユーザ
4 WEBブラウザ
5 WEBサイト
6 通信カード
7 DNS
8 オペレーティングシステム
9 通信プロセス
10 プロキシ通信プロセス
【特許請求の範囲】
【請求項1】
共用ホスティングサーバ上に開設されたグローバルIPアドレスが与えられていないWEBサイトと、当該WEBサイトを閲覧するユーザのWEBブラウザとの間に設置されて、前記WEBサイトと前記WEBブラウザとの間に前記WEBサイトのドメインネームでSSL暗号化通信を提供するゲートウェイサーバであって、
前記WEBサイトを代理して、前記WEBブラウザとの間で前記WEBサイトのドメインネームでSSL暗号化通信を行なう代理通信手段と、
前記代理通信手段によって行なわれたSSL暗号化通信を中継して、前記共用ホスティングサーバ上のWEBサイトとの間で通信を行なう中継通信手段を備えていることを特徴とするゲートウェイサーバ。
【請求項2】
請求項1において、
前記代理通信手段は、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに対応する数だけ通信カードを備えており、
前記通信カードのそれぞれには、グローバルIPアドレスが与えられており、DNSによって、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに割り当てられているドメインネームと同一のドメインに属するホスト名が設定されており、
前記通信カードの各々は、前記グローバルIPアドレスに基づいた署名付き電子証明書を実装するとともに、SSL暗号化通信のための秘密鍵を備えることを特徴とするゲートウェイサーバ。
【請求項3】
請求項1において、
前記代理通信手段は、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに対応する数だけ通信プロセスを備えており、
前記通信プロセスのそれぞれには、グローバルIPアドレスが与えられており、DNSによって、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに割り当てられているドメインネームと同一のドメインに属するホスト名が設定されており、
各通信プロセスの各々は、前記グローバルIPアドレスに基づいた署名付き電子証明書を実装するとともに、SSL暗号化通信のための秘密鍵を備えることを特徴とするゲートウェイサーバ。
【請求項4】
請求項1ないし3のいずれかにおいて、
前記中継通信手段は、前記共用ホスティングサーバとの間でSSL暗号化通信を行なうことを特徴とするゲートウェイサーバ。
【請求項5】
請求項1ないし3のいずれかにおいて、
前記共用ホスティングサーバとの間はVPNを介して接続されており、
前記中継通信手段は、前記共用ホスティングサーバとの間でIPsec等による暗号化通信を行なうことを特徴とするゲートウェイサーバ。
【請求項1】
共用ホスティングサーバ上に開設されたグローバルIPアドレスが与えられていないWEBサイトと、当該WEBサイトを閲覧するユーザのWEBブラウザとの間に設置されて、前記WEBサイトと前記WEBブラウザとの間に前記WEBサイトのドメインネームでSSL暗号化通信を提供するゲートウェイサーバであって、
前記WEBサイトを代理して、前記WEBブラウザとの間で前記WEBサイトのドメインネームでSSL暗号化通信を行なう代理通信手段と、
前記代理通信手段によって行なわれたSSL暗号化通信を中継して、前記共用ホスティングサーバ上のWEBサイトとの間で通信を行なう中継通信手段を備えていることを特徴とするゲートウェイサーバ。
【請求項2】
請求項1において、
前記代理通信手段は、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに対応する数だけ通信カードを備えており、
前記通信カードのそれぞれには、グローバルIPアドレスが与えられており、DNSによって、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに割り当てられているドメインネームと同一のドメインに属するホスト名が設定されており、
前記通信カードの各々は、前記グローバルIPアドレスに基づいた署名付き電子証明書を実装するとともに、SSL暗号化通信のための秘密鍵を備えることを特徴とするゲートウェイサーバ。
【請求項3】
請求項1において、
前記代理通信手段は、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに対応する数だけ通信プロセスを備えており、
前記通信プロセスのそれぞれには、グローバルIPアドレスが与えられており、DNSによって、前記共用ホスティングサーバ上でSSL暗号化通信を必要としているWEBサイトに割り当てられているドメインネームと同一のドメインに属するホスト名が設定されており、
各通信プロセスの各々は、前記グローバルIPアドレスに基づいた署名付き電子証明書を実装するとともに、SSL暗号化通信のための秘密鍵を備えることを特徴とするゲートウェイサーバ。
【請求項4】
請求項1ないし3のいずれかにおいて、
前記中継通信手段は、前記共用ホスティングサーバとの間でSSL暗号化通信を行なうことを特徴とするゲートウェイサーバ。
【請求項5】
請求項1ないし3のいずれかにおいて、
前記共用ホスティングサーバとの間はVPNを介して接続されており、
前記中継通信手段は、前記共用ホスティングサーバとの間でIPsec等による暗号化通信を行なうことを特徴とするゲートウェイサーバ。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2008−17055(P2008−17055A)
【公開日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願番号】特願2006−184867(P2006−184867)
【出願日】平成18年7月4日(2006.7.4)
【出願人】(591271450)株式会社ビー・ユー・ジー (9)
【Fターム(参考)】
【公開日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願日】平成18年7月4日(2006.7.4)
【出願人】(591271450)株式会社ビー・ユー・ジー (9)
【Fターム(参考)】
[ Back to top ]